Passwörter gehören weiterhin zu den wichtigsten Sicherheitsmechanismen in Unternehmen. Gleichzeitig stammen viele bestehende Passwortrichtlinien aus einer Zeit, in der sich technische Möglichkeiten, Bedrohungslagen und Empfehlungen zur Informationssicherheit deutlich von heute unterschieden haben.
Während früher häufig kurze, komplexe Passwörter mit regelmäßigen Wechselintervallen gefordert wurden, setzen aktuelle Empfehlungen stärker auf längere Passwörter oder Passphrasen, den Einsatz von Passwortmanagern sowie Multi-Faktor-Authentifizierung.
Eine aktuelle Passwortrichtlinie hilft dabei, einheitliche Regeln für den Umgang mit Benutzerkonten und Authentifizierungsverfahren festzulegen.
Warum viele Unternehmen keine aktuelle Passwortrichtlinie haben
In vielen Organisationen existieren zwar Regelungen zur Passwortnutzung, diese wurden jedoch seit Jahren nicht mehr überprüft.
Typische Gründe sind:
- fehlende personelle Ressourcen
- fehlende Zuständigkeiten
- historisch gewachsene IT-Landschaften
- Übernahme alter Richtlinien ohne Aktualisierung
- Fokus auf technische statt organisatorische Maßnahmen
Häufig werden Richtlinien einmal erstellt und anschließend nicht mehr an neue technische Entwicklungen angepasst.
Risiken fehlender Regelungen
Fehlen klare Vorgaben, entstehen in der Praxis häufig unterschiedliche Verhaltensweisen.
Mögliche Folgen sind:
- Wiederverwendung von Passwörtern für mehrere Systeme
- Nutzung schwacher oder leicht erratbarer Passwörter
- fehlende Multi-Faktor-Authentifizierung
- unzureichender Schutz privilegierter Konten
- fehlende Vorgaben für Passwortmanager
- uneinheitlicher Umgang mit Sicherheitsvorfällen
Dies erhöht das Risiko unbefugter Zugriffe auf Systeme und Informationen.
Welche Inhalte eine Passwortrichtlinie mindestens enthalten sollte
Eine moderne Passwortrichtlinie sollte insbesondere folgende Themen regeln:
Geltungsbereich
Für welche Personen, Systeme und Anwendungen gelten die Vorgaben?
Anforderungen an Passwörter
- Mindestlänge
- Passwortqualität
- Nutzung von Passphrasen
- Umgang mit Initialpasswörtern
Umgang mit Passwörtern
- Vertraulichkeit
- Weitergabe von Passwörtern
- Speicherung von Passwörtern
- Nutzung von Passwortmanagern
- Trennung privater und geschäftlicher Nutzung
Multi-Faktor-Authentifizierung
- Einsatzbereiche
- geeignete Verfahren
- Schutz zusätzlicher Authentifizierungsfaktoren
Anforderungen an Systeme und Administratoren
- sichere Passwortspeicherung
- Verschlüsselung
- Schutz vor automatisierten Anmeldeversuchen
- Anforderungen an privilegierte Konten
Umgang mit Sicherheitsvorfällen
- Meldewege
- Sofortmaßnahmen
- Dokumentation
- Präventionsmaßnahmen
Typische Fehler in der Praxis
Bei der Überprüfung bestehender Regelungen zeigen sich häufig ähnliche Schwachstellen:
Fokus auf Komplexität statt Länge
Kurze Passwörter mit vielen Sonderzeichen gelten nicht automatisch als sicher. Längere Passphrasen bieten häufig einen besseren Schutz.
Regelmäßige Passwortwechsel ohne Anlass
Ein pauschaler Passwortwechsel erhöht nicht zwangsläufig die Sicherheit. Wichtiger ist die Änderung bei Verdacht auf eine Kompromittierung.
Keine Regelungen zu Passwortmanagern
Passwortmanager können die sichere Nutzung individueller Passwörter erheblich erleichtern.
Fehlende Multi-Faktor-Authentifizierung
MFA zählt heute zu den wirksamsten Maßnahmen zum Schutz von Benutzerkonten.
Unzureichende Regelungen für Administrationskonten
Privilegierte Konten sollten erhöhten Sicherheitsanforderungen unterliegen.
Fazit
Eine aktuelle Passwortrichtlinie ist kein Selbstzweck. Sie schafft klare organisatorische Vorgaben und unterstützt Unternehmen dabei, Sicherheitsanforderungen nachvollziehbar umzusetzen.
Insbesondere Passwortlänge, Passphrasen, Passwortmanager und Multi-Faktor-Authentifizierung sollten heute Bestandteil jeder modernen Regelung sein.
Für Unternehmen, die nicht bei einer leeren Seite beginnen möchten, steht bei Projekt86 eine praxisorientierte Passwort- und Authentifizierungsrichtlinie als bearbeitbare Vorlage (PDF und Word) zur Verfügung.
Zur Vorlage: Passwort- und Authentifizierungsrichtlinie